En nybörjarguide för att skydda din WordPress-webbplats
WordPress är ett av de mest populära innehållshanteringssystemen.
Faktum är att denna publiceringsplattform nu används av mer än 27,5 % av de 10 miljoner bästa sajterna. Andra plattformar som Joomla och Drupal bleknar helt enkelt i jämförelse. Det som gör att WordPress har så stort stöd är dess användarvänlighet, vilket gör det möjligt att bygga en fullt fungerande webbplats på kort tid.
Men det faktum att WordPress är så utbrett gör det också till ett mål för hackare.
Eventuella säkerhetsbrister kan göra din webbplats mottaglig för skadliga attacker och till och med äventyra användardata under processen. Denna typ av attack kan vara helt förödande för alla företag.
En utsatt webbplats minskar inte bara förtroendet för dina besökare utan kan också få dina sidor svartlistade i Google. Faktum är att ett steg som Google redan tar mot en säkrare webb är att visa en varning för Chrome-användare om de försöker besöka en potentiellt osäker eller vilseledande webbplats (t.ex. nätfiske eller skadlig kod).
Alla som besöker din webbplats (om den har blivit attackerad) kan mötas av följande:
Vikten av webbplatssäkerhet kan inte nog betonas.
Allt som krävs är en enda attack för att få försäljningen att stoppa helt och eventuellt få din webbplats svartlistad i Google. Det är säkert möjligt att få din webbplats borttagen men du måste begära en manuell granskning som kan ta flera dagar eller till och med veckor att lösa beroende på problemet. En mycket bättre lösning då är att vidta åtgärder för att skydda din webbplats.
Här tar vi en djupgående titt på hur du kan skydda och hålla din WordPress-sajt säker.
Håll WordPress uppdaterat
Uppdateringar för WordPress är kritiska.
En bedömning av över 11 000 infekterade webbplatser visade att 75 % var på WordPress. Mer överraskande är dock det faktum att över 50 % av dessa webbplatser var inaktuella. Uppdatering till den senaste versionen ger dig inte bara tillgång till nyare funktioner, utan korrigerar även kända säkerhetsbrister som angripare kan utnyttja.
Faktum är att dessa säkerhetsbrister blir kända när nya uppdateringar är tillgängliga. Här är ett exempel på en säkerhetslogg för en uppdaterad version av WordPress:
Denna information är öppet tillgänglig när nya uppdateringar släpps. Men om du inte omedelbart uppdaterar lämnar du din webbplats öppen för attacker. Uppdatera alltid till den senaste versionen för att skydda din webbplats mot nyligen upptäckta sårbarheter. Om det finns några tillgängliga uppdateringar kommer du att se ett meddelande högst upp på din instrumentpanel:
Med nyare versioner av WordPress kan du enkelt uppdatera med en knapptryckning. Tänk på att din webbplats kommer att försättas i underhållsläge under en kort period tills uppdateringen är klar. Uppdateringen tar bara några minuter men när den väl är klar behöver du inte göra något mer.
Känner du inte för att manuellt uppdatera din webbplats varje gång?
Aviseringar kan vara ganska irriterande. Men att uppdatera din WordPress är ett av de enklaste sätten att hålla din webbplats säker. Om du inte vill oroa dig för om din webbplats har den senaste versionen kan du konfigurera automatiska uppdateringar med några enkla justeringar.
Öppna filen wp-config.php och lägg till följande rad i den:
define('WP_AUTO_UPDATE_CORE', true);
Du kan också aktivera automatiska plugin-uppdateringar genom att lägga till följande rad i samma fil:
add_filter( 'auto_update_plugin', '__return_true' );
Och lägg till den här raden för att aktivera uppdateringar för teman:
add_filter( 'auto_update_theme', '__return_true' );
Genom att lägga till dessa rader säkerställer du att din webbplats hålls uppdaterad utan att kräva någon annan åtgärd. Om du är någon som helt enkelt inte kan bry dig om uppdateringar eller meddelanden, vill du definitivt konfigurera automatiska uppdateringar för att säkerställa att din webbplats alltid är uppdaterad.
Skydda adminområdet
Oavsett hur säkert något är kan vem som helst enkelt få tillgång om de har rätt verktyg eller om ägarna är oaktsamma. Med WordPress är adminområdet ett främsta mål för hackare.
Följ dessa steg för att hålla den här sidan säker:
Använd ett starkt lösenord
Om du använder ett svagt lösenord (t.ex. ”12345”, ”lösenord”, etc.), utsätter du din webbplats för större risk eftersom angripare kan använda automatiserade skript för att brutalt tvinga sig in. Detta innebär att du upprepade gånger försöker ett lösenord tills ett äntligen fungerar Men att använda ett starkt lösenord som innehåller en kombination av siffror och symboler gör det nästan omöjligt för även de mest sofistikerade programmen att knäcka.
Använd ett verktyg som Strong Password Generator för att skapa ett starkt och säkert lösenord för din WordPress-webbplats:
Att tvinga fram ett sådant här lösenord skulle ta ett datorprogram år eller till och med årtionden att knäcka. Nackdelen är dock att ett starkt lösenord är svårt att komma ihåg. Men avvägningen är definitivt värt det om det innebär att förhindra angripare från att få tillgång till din webbplats. Lyckligtvis finns det ett antal lösenordshanterare tillgängliga som du kan använda för att lagra ditt lösenord.
Ändra ditt användarnamn
När du först installerar WordPress blir du ombedd att ange ett användarnamn.
Angripare kommer inte att kunna komma åt din instrumentpanel om de inte har både ditt användarnamn och lösenord. Du kan enkelt blockera brute force-försök genom att helt enkelt använda ett mer unikt användarnamn. Så använd inte ”admin” när du väljer ett användarnamn.
Begränsa inloggningsförsök
Som tidigare nämnts kan angripare använda program för att brutalt tvinga sig in på din webbplats. Det finns dock plugins tillgängliga som Login LockDown som låter dig begränsa inloggningsförsök från en specifik IP-adress. Om fler än några försök misslyckas låses den användaren ute.
Byt namn på din inloggningssida
Slutligen, ett annat sätt att skydda adminområdet är att flytta inloggningssidan helt och hållet. Instrumentpanelen nås vanligtvis från www.yoursite.com/wp-admin
. Ett iögonfallande problem är dock att hackare vet att genom att bara lägga till ” /wp-admin
” på en WordPress-webbplats kommer de att få tillgång till administratörssidan.
Protect WP-Admin löser det här problemet genom att tillåta webbansvariga att anpassa webbadressen till administratörspanelen:
Att skydda administratörsområdet genom att följa dessa steg kan avsevärt minska och blockera automatiska attacker mot din webbplats.
Aktivera tvåfaktorsautentisering
Tvåfaktorsautentisering lägger till ett extra lager av säkerhet genom att göra det ännu svårare för angripare att få tillgång till ditt konto. Inloggning kräver inte bara ett användarnamn och lösenord, utan också en extra behörighetskod som vanligtvis skickas via SMS till en mobil enhet.
Även om en angripare på något sätt gissar ditt användarnamn och lösenord, skulle de inte kunna logga in på ditt konto utan auktoriseringskoden. Ladda ner och installera Google Authenticator-plugin för att enkelt ställa in tvåfaktorsautentisering på din webbplats:
Förutom att kunna använda Google Authenticator-appen för verifiering, erbjuder pluginen även ytterligare alternativ för tvåfaktorsautentisering som e-post- och telefonsamtalsverifiering. Tvåfaktorsautentisering kan också användas om din webbplats har flera användare.
Använd .htaccess för att begränsa åtkomst till viktiga filer
Du kan ytterligare skärpa säkerheten på din WordPress-webbplats med .htaccess-filen. Den här filen används mest i WordPress för webbplatsoptimering som att skriva om webbadresser för att vara mer användar- och sökmotorvänliga. Men det kan också användas för att förbättra din webbplats säkerhet.
.htaccess-filen finns vanligtvis i rotmappen och kan nås antingen via en FTP-klient eller cPanel. Det finns också flera plugins tillgängliga inklusive SEO av Yoast som tillåter direkt åtkomst från instrumentpanelen.
Här är flera sätt att skydda din webbplats med hjälp av .htaccess-filen:
Göm wp-config.php
Filen wp-config.php är standard vid varje installation men den innehåller också känslig information som säkerhetsnycklar och databasanslutningsdetaljer till din webbplats. Det här är detaljer som du absolut inte vill ha i fel händer. Den bästa lösningen är då att dölja denna fil helt och hållet och göra den oåtkomlig.
Dölj filen wp-config.php genom att lägga till följande kod i .htaccess-filen:
order allow,deny
deny from all
Förhindra katalogbläddring
På grund av hur WordPress implementerar sin filstruktur är det fullt möjligt för besökare att komma åt din webbplats mappar och filer genom att helt enkelt navigera till yoursite.com/wp-content/uploads. Så du vill förhindra katalogbläddring eftersom angripare kan använda denna information för skändliga syften.
Lägg till följande rad i din .htaccess-fil:
Options All -Indexes
PHP-filer är otroligt viktiga att skydda eftersom hackare kan använda dessa filer för att injicera skadlig kod för att infektera en webbplats. Lägg till följande kod till din .htaccess-fil för att förhindra åtkomst till ditt plugin och temas PHP-filer:
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]
Bara att lägga till dessa ändringar i din .htaccess-fil kommer att förbättra säkerheten på din WordPress-webbplats och göra det ännu svårare för angripare att få tillgång till din webbplats. Oavsett så finns det inget som heter en webbplats som är helt säker då nya sårbarheter ständigt upptäcks och utnyttjas.
Det är därför du måste ha en reservplan i händelse av att saker och ting skulle bli sämre.
Säkerhetskopiera din webbplats regelbundet Underhåll regelbundna säkerhetskopior
Oavsett hur många säkerhetsåtgärder du vidtar kan din webbplats fortfarande vara sårbar.
Även om WordPress har funnits i över ett decennium, identifierar och fixar utvecklingsteamet ständigt säkerhetsproblem. För att inte nämna att alla nya teman eller plugins du installerar också kan ha exploateringar som ännu inte har fixats.
Det är därför det är en bra idé att regelbundet säkerhetskopiera din webbplats. På så sätt kan du snabbt återställa din webbplats och minimera eventuella förluster om din webbplats tas ner från en attack.
Du vill se till att din webbplats säkerhetskopieras enligt ett regelbundet schema och även sparas i molnet. Om din dator har äventyrats kommer du att kunna komma åt den säkerhetskopian och återställa från en annan enhet. Vi rekommenderar att du använder en automatiserad lösning som BackupBuddy.
De flesta backuplösningar kräver ett betalabonnemang. Men om du förlitar dig på din webbplats för ditt företag är det väl värt det att betala bara för sinnesfrid. I händelse av att din webbplats tas ner på grund av en attack kan du arbeta med din webbhotell och enkelt återställa din webbplats till en tidigare version med en säkerhetskopia.
Slutsats
Även om WordPress i sig är relativt säkert, ökar om du lägger till teman, plugins och anpassad kod sannolikheten för en säkerhetsrisk som hackare kan (och gör) utnyttja. Om du inte vidtar vissa säkerhetsåtgärder just nu kan din webbplats vara ett potentiellt mål.
Det är viktigt att notera att inget system är helt säkert. Men det finns försiktighetsåtgärder du kan vidta som avsevärt kommer att minska risken för att drabbas av en skadlig attack.
Följ stegen som beskrivs här för att stärka din WordPress-webbplats säkerhet.